Art. 40 Åtgärder för att minska riskerna i samband med transaktioner med fristående adresser | Anti-money laundering regulation (AMLR) | AML

This article targets a specific area of risk unique to the crypto-asset space: transfers involving self-hosted addresses, commonly known as unhosted or private wallets.

It places obligations squarely on crypto-asset service providers to assess the money laundering and terrorist financing risks that arise from transfers going to or coming from these addresses, and to back that assessment up with internal policies and controls.

The article then provides a non-exhaustive menu of mitigating measures that providers must apply, scaled to the risks they identify.

It connects naturally to the broader enhanced due diligence framework in the regulation, applying sector-specific logic to a type of transaction that, by its nature, sits outside the traditional counterparty identification process.

AMLA is also tasked with issuing guidelines by 10 July 2027 to give further practical shape to how these obligations should be met.

Important points:

Implement internal policies, procedures and controls to assess the money laundering and terrorist financing risks posed by transfers to or from self-hosted addresses.
Apply mitigating measures commensurate with the risks identified, which may include identifying and verifying originators or beneficiaries, requesting additional information on the origin and destination of crypto-assets, or conducting enhanced ongoing monitoring.
AMLA is required to issue guidelines by 10 July 2027 specifying the criteria and means for identity verification in the context of self-hosted address transfers, including how to determine whether a self-hosted address is owned or controlled by a customer.

1. Leverantörer av kryptotillgångstjänster ska identifiera och bedöma risken för penningtvätt och finansiering av terrorism i samband med överföringar av kryptotillgångar som riktas till eller härrör från en fristående adress. Leverantörer av kryptotillgångstjänster ska därför ha infört interna riktlinjer, förfaranden och kontroller för detta ändamål.
2. Leverantörer av kryptotillgångstjänster ska tillämpa riskreducerande åtgärder som står i proportion till de identifierade riskerna. Dessa riskreducerande åtgärder ska inbegripa en eller flera av följande åtgärder:
  1. Vidta riskbaserade åtgärder för att identifiera och kontrollera identiteten på avsändaren eller mottagaren av en överföring till eller från en fristående adress eller avsändarens eller mottagarens verkliga huvudman, inbegripet genom utnyttjande av tredje parter.
  2. Kräva ytterligare information om kryptotillgångarnas ursprung och destination.
  3. Genomföra en skärpt fortlöpande övervakning av transaktioner med en fristående adress.
  4. Alla andra åtgärder för att minska och hantera riskerna för penningtvätt och finansiering av terrorism samt risken för att riktade ekonomiska sanktioner kringgås eller inte genomförs.
1. Senast den 10 juli 2027 ska Amla utfärda riktlinjer för att specificera vilka åtgärder som avses i punkt 1, inbegripet
  1. kriterier och medel för identifiering och kontroll av identiteten på avsändaren eller mottagaren av en överföring från eller till en fristående adress, inbegripet genom utnyttjande av tredje parter, med beaktande av den senaste tekniska utvecklingen,
  2. kriterier och medel för kontroll av huruvida den fristående adressen ägs eller kontrolleras av en kund.